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- (57) Abstract: The invention relates to a method for automatic roaming between heterogeneous WLANs and/or GSM/GPRS/UMTS 
^ networks. According to said method, for authentication purposes a mobile IP node (20) requests access to the WLAN at an access 
\fl point (21, 22). Upon receiving a request from the access server (23), the mobile IP node (20) transmits an IMSI that is stored on a 
SIM card (201) of the mobile IP node (20) to said access server (23). Based on said IMSI and with the aid of information stored in a 
▼"H user database (34), the logic IP data channel of the WLAN is supplemented in a user specific manner with corresponding GSM 
^ data for signal and data channels of a GSM network and the authentication of the IP nodes (20) is carried out in an HLR (37) and/or 
^ (37) a GSM network 

fs| (57) Zusammenfassung: Die Erfindung betrifft ein Verfahren fur automatisches Roaming zwischen heterogene WLANs und/oder 

OGSM/GPRS/UMTS-Netzwerken, bei welchem zur Authentifizierung ein mobiler IP-Node (20) bei einem Access Point (21, 22) 
Zugriff auf das WLAN fordert, bei welchen der mobile IP-Node (20) auf einen 

[Fortsetzung auf der nachsten Seite] 
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Request des Access Servers (23) eine auf einer SIM-Karte (201) des mobilen IP-Nodes (20) gespeicherte IMSI an den Access Server 
(23) ubermittelt und bei welchem basierend auf der IMSI mittels von in einer SIM-Benutzerdatenbank (34) abgespeicherten Informa- 
tionen der logischen IP-Datenkanal des WLAN zu entsprechenden GSM-Daten fur Signal-und Datenkanale eines GSM-Netzwerkes 
benutzerspezifisch erganzt wird und die Authentifizierung des IP-Nodes (20) bei einem HLR (37) und/oder (37) eines GSM-Netzw- 
erkes durchgefuhrt wird. 
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Verfahren und System fur GSM-Authentifizierung bei WLAN Roaming 

Die vorliegende Erfindung betrifft ein Verfahren und System fur 
automatisches Roaming zwischen unterschiedlichen WLANs und/oder 
GSM/GPRS/UMTS-Netzwerken, bei welchem zur Authentifizierung ein mobiler 

5 IP-Node Qber eine drahtlose Schhittstelle innerhalb einer Basic Service Area 
eines WLANs bei einem Access Server Zugriff auf das WLAN fordert, wobei die 
Basic Service Area des WLAN ein oder mehrere dem Access Server 
zugeordnete Access Points umfasst, und der mobile IP-Node mittels einer auf 
einer SIM-Karte des mobilen IP-Nodes gespeicherte IMS! authentifiziert wird. 

10 Insbesondere betrifft die Erfindung ein Verfahren fur mobile Nodes in 
heterogenen WLANS. 

In den letzten Jahren ist weltweit die Zahl der Internetbenutzer und 
damit der dort angebotenen Information exponentiell gestiegen. Obwohl jedoch 
das Internet weltweit Zugang zu Informationen bietet, hat der Benutzer 

15 normalerweise keinen Zugang dazu, bis er nicht an einem bestimmten 

Netzzugang, wie z.B. im BOro, in der Schule, an der Universitat oder zu Hause, 
angekommen ist. Das wachsende Angebot an IP-fahigen mobilen Geraten, wie 
z.B. PDAs, Mobilfunktelefonen und Laptops, beginnt unsere Vorstellung vom 
Internet zu verandem. Ein analoger Obergang von fixen Nodes in Netzwerken 

20 zu flexibleren Anforderungen durch erhohte Mobilitat hat eben erst begonnen. 
In der Mobilfunktelefonie z.B. zeigt sich diese Tendenz u.a. auch an neuen 
Standards wie WAP, GPRS oder UMTS. Urn den Unterschied zwischen der 
momentanen Realitat und den iP-Verbindungsmoglichkeiten der Zukunft zu 
verstehen, kann man sich als Vergleich die Entwicklung der Telefonie Richtung 

25 Mobilitat in den letzten zwanzig Jahren vors Auge rufen. Der Bedarf im pnVaten 
wie auch im geschaftlichen Bereich nach weltweitem unabha.ngigem drahtlosen 
Zugriff auf LANs (z.B. in Flughafen, Konferenzzentren, Messegelanden, 
Stadten, etc., etc.) mit Laptops, PDAs etc. ist riesig. Die WLANs, basierend z.B. 
auf IP, bieten heute jedoch den Service nicht, wie er z.B. mit GSM/GPRS 

30 erzeugt wird, der ein freies Roaming der Benutzer erlauben wtirde. Diese 

Dienste mussten neben Sicherheitsmechanismen wie im GSM/GPRS ebenfalls 
Moglichkeiten zur Service Autorisierung und zum Billing, d.h. Verrechnen der 
beanspruchten Leistung etc., umfassen. Auf der anderen Seite wird ein solcher 
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Dienst auch nicht von bestehenden GSM/GPRS Betreibern angeboten. Es ist 
aber nicht nur das Roaming zwischen verschiedenen WLANs wichtig. Durch 
den grossen Wachstum bei der Informationstechnologie mit WLANs (mit Zugriff 
auf Internet etc.) und dem ebenfalls grossen Wachstum in der 

5 Mobilfunktelefonie ist es sinnvoll, diese beiden Welten zu verknupft Erst die 
Verknupfung der beiden Welten macht bei wireless LANs ein einfaches und 
automatisches Roaming moglich, wie es der Benutzer von der 
Mobilfunktechnologie gewohnt ist. Somit besteht der Bedarf nach Anbietern, die 
zwischen unterschiedlichen WLAN-Dienstanbietern und zwischen WLAN- 

10 Dienstanbietern und GSM/GPRS-Dienstanbietern ein standartubergreifendes 
Roaming ermoglichen. 

Computernetze oder Local Area Networks (LAN) bestehen 
ublicherweise aus sog. Nodes, welche verbunden sind uber physikalische 
Medien, wie z.B. Koaxialkabel, Twisted Pair oder optische Glasfaserkabel. 

15 Diese LANs werden auch als wired LANs (verdrahtete Festnetze) bezeichnet. In 
den letzten Jahren sind auch drahtlose LANs, sog. wireless LANs, immer 
popularer geworden (z.B. durch Entwicklungen wie das AirPort-System der 
Apple Computer, Inc. etc.). Wireless LANs sind speziell geeignet, urn mobile 
Einheiten (Nodes), wie z.B. Laptops. Notebooks, PDAs (Personal Digital 

20 Assistant) oder Mobilfunkgerate, insbesondere Mobilfunktelefone, mit einer 
entsprechenden Schnittstelle in ein lokales Computemetzwerk einzubinden. Die 
mobilen Nodes besitzen einen Adapter, welcher einen Sender/Empfanger sowie 
eine Kontrollkarte umfasst (wie z.B. lnfrarot(IR)-Adapter oder einen 
Tieffrequenzradiowellen-Adapter). Der Vorteil von solchen mobilen Nodes ist, 

25 dass sie innerhalb der Reichweite des wireless LANs frei bewegt werden 

kSnnen. Die mobilen Nodes kommunizieren entweder direkt miteinander (Peer- 
to-Peer wireless LAN) oder schicken ihr Signal an eine Basisstation, welche das 
Signal veretarkt und/oder weiterleitet. Die Basisstationen konnen ebenfalls 
Bridgefunktionen umfassen. Ober solche Basisstationen mit Bridge-Funktionen, 

30 sog. Access Points (AP), k6nnen die mobilen Nodes des drahtlosen LAN auf 
ein wired LAN zugreifen. Typische Netzwerkfunktionen eines Access Points 
umfassen das Clbertragen von Meldungen von einem mobilen Node zu einem 
anderen, das Senden von Meldungen vom wired LAN zu einem mobilen Node 
und das Obertragen von Meldungen eines mobilen Nodes auf das wired LAN. 
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Die physikalische Reichweite eines AP wird Basic Service Area (BSA) genannt. 
Befindet sich ein mobiler Node innerhaib der BSA eines AP, kann er mit diesem 
AP kommunizieren, falls der AP ebenfalls innerhaib der Signal-Reichweite 
(Dynamic Service Area (DSA)) des mobilen Nodes liegt Mehrere APs sind i.N. 

5 einem Access Server zugeordnet, der u.a. die Autorisierung der mobilen Nodes 
mittels einer Benutzerdatabank Qberwacht und verwaltet. Die gesamte Flache, 
die von den APs eines Access Servers abgedeckt wird, wird als sog. Hot Spot 
bezeichnet. Mobile Nodes besitzen typischerweise eine Signalstarke von 100 
mWatt bis zu einem Watt. Urn das wireless LAN mit dem wired LAN zu 

10 verbinden, ist es fur den AP wichtig zu bestimmen, ob eine bestimmte Meldung 
(information frame) auf dem Netz fur einen Node bestimmt ist, der innerhaib des 
wired LAN oder innerhaib des wireless LAN liegt, und diese Information, falls 
notwendig, an den entsprechenden Node weiterzuleiten. Fiir diesen Zweck 
besitzen APs sog. Bridge-Funktionen, z.B. entsprechend dem Standard IEEE 

1 5 Std 802. 1 D-1 990 "Media Access Control Bridge" (31 -74 ff). Bei solchen 

Bridgefunktionen wird ein neuer mobiler Node im wireless LAN typischerweise 
in einer FDB (Filtering Database) des AP registriert, in dessen Reichweite der 
Node liegt. Bei jedem Information-Frame auf dem LAN vergleicht der AP die 
Zieladresse mit den Adressen (MAC-Adressen (Media Access Control 

20 Addresses)), welche er im FDB abgespeichert hat und sendet, verwirft oder 
Obertragt den Frame auf das wired LAN bzw. auf das wireless LAN. 

Bei mobiler Netzwerkbenutzung sollte ein bestehender IP-Zugriff von 
Applikationen auf dem mobilen Node nicht unterbrochen werden, wenn der 
Benutzer seinen Standort im Netzwerk andert. Im Gegenteil sollten alle 

25 Verbindungs- und Schnittstellenanderungen z.B. bei einem Wechsel in 
unterschiedlichen Hot Spots, insbesondere unterschiedlichen Netzwerken 
(Ethernet, Mobilfunknetz, WLAN, Bluetooth etc.) automatisch und nicht 
interaktiv geschehen konnen, so dass der Benutzer davon nicht einmal 
Kenntnis zu haben braucht. Dies gilt auch z.B. wahrend der Benutzung von 

30 Real-Time Applikationen. Wirkliches mobiles IP-Computing weist viele Vorteile 
basierend auf einem jederzeitigen stabilen Zugang zum Internet auf. Mit einem 
solchen Zugang lasstsich die Arbeit frei und unabhangig vom Schreibtisch 
gestaiten. Die Anforderungen an mobile Nodes in Netzwerken unterscheidet 
sich aber von der eingangs erwahnten Entwicklung in der Mobilfunktechnik auf 
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verschiedene Arten. Die Endpunkte im Mobilfunk sind gewohnlich Menschen. 
Bei mobilen Nodes kdnnen aber Computerapplikationen lnteraktionen zwischen 
anderen Netzteilnehmern ohne jegliches menschliches Zutun oder Eingreifen 
ausfuhren. Beispiele dazu finden sich in Flugzeugen, Schiffen und Automobilen 
5 zu Genuge. So kann insbesondere mobiles Computing mit Internet Zugriff 
zusammen mit anderen Applikationen wie z.B. in Kombination mit 
Positionsbestimmungsgeraten, wie dem satellitenbasierenden GPS (Global 
Positioning System) sinnvoll sein. 

Eines der Probleme beim mobilen Netzwerkzugriff via Internet Proto- 
koll (IP) ist, dass das IP-Protokoll, welches dazu benutzt wird, die Datenpakete 
von der Quelladresse (Source Address) zur Zieladresse (Destination Address) 
im Netz zu routen, sog. IP-Adressen (IP: Internet Protocol) benutzt. Diese 
Adressen sind einem festen Standort im Netzwerk zugeordnet, ahnlich wie die 
Telefonnummern des Festnetzes einer physikalischen Dose zugeordnet sind. 
Wenn die Zieladresse der Datenpakete ein mobiler Node ist, bedeutet das, 
dass bei jedem Netzwerkstandortwechsel eine neue IP-Netzwerkadresse zu- 
geordnet werden muss, was den transparenten, mobilen Zugriff verunmSglicht. 
Diese Probleme wurden durch den Mobile IP Standart (IETF RFC 2002, Okt. 
1996) der Internet Engineering Task Force (IETF) gelost, indem das Mobile IP 
dem mobilen Node eriaubt, zwei IP-Adressen zu benutzen. Die eine davon ist 
die normale, statische IP-Adresse (Home-Adresse), die den Ort des Heim- 
netzes angibt, wahrend die zweite eine dynamische IP Care-Of-Adresse ist, die 
den aktuellen Standort des mobilen Nodes im Netz bezeichnet. Die Zuordnung 
der beiden Adressen eriaubt es, die IP-Datenpakete an die richtige, momentane 
Adresse des mobilen Nodes umzuleiten. 

Eine der haufigst verwendeten Protokolle zur Authentifizierung eines 
Benutzers in einem wireless LAN ist das opensource Protokoll IEEE 802. 1x (in 
der aktuellen Version 802.11) der Institute of Electrical and Electronics 
Engineers Standards Association. Die IEEE 802.1 x Authentifizierung eriaubt 
30 den authentifizierten Zugriff auf IEEE 802 Medien, wie z.B. Ethernet, Tokenring 
und/oder 802.11 wireless LAN. Das 802.11 Protokoll erzeugt for wireless LAN, 
d.h. fOr drahtlose, lokale Netzwerke, eine 1 Mbps, 2 Mbps oder 11 Mbps 
Obertragung im 2.4 GHz Band, wobei entweder FHSS (Frequency Hopping 
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Spread Spectrum) oder DSSS (Direct Sequence Spread Spectrum) benutzt 
wird. 802.1 x unterstiitzt zur Authentifizierung EAP (Extensible Authentication 
Protocol) und TLS (Wireless Transport Layer Security). 802.1 1 unterstOtzt 
ebenfalts RADIUS. Obwohl die RADIUS-UnterstGtzung bei 802. 1x optional ist, 

5 ist zu erwarten, dass die meisten 802.1x Authenticators RADIUS unterstOtzen 
werden. Das IEEE 802.1x Protokoll istein sog. Port-basierendes 
Authentifizierungsprotokoll. Es kann in jeder Umgebung verwendet werden, in 
welcher ein Port, d.h. eine Interface eines Gerates, bestimmt werden kann. Bei 
der Authentifizierung basierend auf 802. 1x kSnnen drei Einheiten unterschieden 

10 werden. Das Gerat des Benutzers (Supplicant/Client), den Authenticator und 
den Authentifikationsserver. Der Authenticator ist dafOr zustandig, den 
Supplicant zu authentifizieren. Authenticator und Supplicant sind beispielsweise 
Qber ein Point-to-Point LAN Segment oder eine 802.11 wireless Link 
verbunden. Authenticator und Supplicant besitzen einen definierten Port, eine 

15 sog. Port Access Entity (PAE), die einen physikalischen oder virtuellen 802.1x 
Port definiert. Der Authentifikationsserver erzeugt die vom Authenticator 
benStigten Authentifikationsdienste. So verifiziert er die vom Supplicant 
gelieferten Berechtigungsdaten bezuglich der beanspruchten Identitat. 

Die Authentifikationsserver basieren meistens auf RADIUS (Remote 
20 Authentication Dial-In User Service) der IETF (Internet Engineering Task 
Force). Die Benutzung des RADIUS Authentifizierungsprotokoll und 
Accountsystems ist weit verbreitet bei Netzwerkeinheiten, wie z.B. Router, 
Modemserver, Switch etc. und wird von den meisten Internet Service Providern 
(ISP) benutzt. Wahlt sich ein Benutzer bei einem ISP ein, muss er 
25 normalerweise einen Benutzernamen und ein Passwort eingeben. Der 

RADIUS-Server Qberprtift diese Information und autorisiert den Benutzer zum 
ISP-System. Der Grund fOr die Verbreitung von RADIUS liegt u.a. darin, dass 
Netzwerkeinheiten im allgemeinen nicht mit einer sehr grossen Anzahl 
Netzbenutzer mit jeweils unterschiedlicher Authentifizierungsinformation 
30 umgehen kOnnen, da dies z.B. die Speicherkapazitat der einzelnen 

Netzwerkeinheiten Obersteigen wOrde. RADIUS eriaubt die zentrale Verwaltung 
von einer Vielzahl von Netzwerkbenutzern (HinzufOgen, LOschen von Benutzern 
etc.). So ist das z.B. bei ISP (Internet Service Providem) eine notwendige 
Voraussetzung fur ihren Dienst, da ihre Benutzeranzahl haufig mehrere tausend 
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bis mehrere zehntausend Benutzer umfasst. RADIUS erzeugt weiter einen 
bestimmten permanenten Schutz vor Hackem. Die Remoteauthentifizierung von 
RADIUS basierend auf TACACS+ (Terminal Access Controller Access Control 
System+) und LDAP (Lightweight Directory Access Protocol) ist gegen Hacker 
relativ sicher. Viele andere Remote Authentifizierungsprotokolle haben dagegen 
nur einen zeitweisen, ungenQgenden Oder gar keinen Schutz vor 
Hackerangriffen. Ein andere Vorteil ist, dass RADIUS zurzeit der de-facto 
Standard fQr Remote Authentifizierung ist, womit RADIUS auch von fast alien 
Systemen unterstQtzt wird, was bei anderen Protokollen nicht der Fall ist. 

Das oben erwahnte Extensible Authentication Protocol (EAP) ist 
eigentlich eine Erweiterung zum PPP (Point-to-Point Protocol) und ist definiert 
durch das Request for Comments (RFC) 2284 PPP Extensible Authentication 
Protocol (EAP) der IETF. Mittels PPP lasst sich ein Computer z.B. an den 
Server eines ISP anbinden. PPP arbeitet im Data Link Layer des OSI Model 
und schickt die TCP/IP-Packete des Computers an den Server des ISP, der das 
Interface zum Internet bildet. Im Gegensatz zum alteren SLIP Protokoll (Serial 
Line Internet Protocol) arbeitet PPP stabiler und besitzt Fehlerkorrekturen. Das 
Extensible Authentication Protocol ist ein Protokoll auf einem sehr allgemeinen 
Level, das die verschiedensten Authentifizierungsverfahren unterstQtzt, wie z.B. 
Token Cards, Kerberos des Massachusetts Institute of Technology (MIT), 
Streichlisten-Passworter, Zertifikate, Public Key Authentication und Smartcards 
Oder sog. Integrated Circuit Cards (ICC). IEEE 802.1x definiert die 
Spezifikationen, wie EAP in die LAN-Frames intergriert sein mOssen. Bei 
Kommunikation in drahtlosen Netzwerken mittels EAP verlangt ein Benutzer 
Qber die drahtlose Kommunikation bei einen Access Point (AP), d.h. eines 
Verbindungs-HUP fQr den Remote Access Client oder Supplicant zum WLAN, 
Zugriff auf das wireless LAN. Der AP fordert darauf vom Supplicant die 
Identifikation des Benutzers und Qbermittelt die Identifikation an den oben 
genannten Authentifikationsserver, der z.B. auf RADIUS basiert Der 
Authentifikationsserver lasst den Access Point die Identifikation des Benutzers 
rGckQberprQfen. Der AP holt sich diese Authentrfizierungsdaten vom Supplicant 
und Qbermittelt diese an den Authentifikationsserver, der die Authentifizierung 
beendet. 
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Bel EAP erzeugt ein beliebiges Authentifizierungsverfahren eine 
Remote Access Verbindung. Das genaue Authentifikationsschema wlrd jeweils 
zwischen dem Supplicant und dem Authenticator (d.h- dem Remote Access 
Server, dem Internet Authentication Service (IAS) Server bzw. bei WLAN dem 

5 Access Point) festgelegt. Wie oben erwahnt, unterstOtzt EAP dabei viele 
unterschiedliche Authentifikationsschemata, wie z.B. generische Token Card, 
MD5-Challenge, Transport Level Security (TLS) fur Smartcards, S/Key und 
mdgliche zukGnftige Authentifizierungstechnologien. EAP erlaubt eine von der 
Anzahl nicht beschrankte Frage-Antwort-Kommunikation zwischen Supplicant 

10 und Authenticator, wobei der Authenticator bzw. der Authentifikationsserver 
spezifische Authentifizierungsinformation verlangt und der Supplicant, d.h. der 
Remote Access Client antwortet. Beispielsweise kann der 
Authentifikationsserver Goer den Authenticator bei den sog. Security Token 
Cards einzeln zuerst einen Benutzernamen, dann eine PIN (Personal Identity 

15 Number) und schlussendlich einen Token Card Value vom Supplicant 
verlangen. Bei jedem Frage-Antwort-Durchgang wird dabei ein weiterer 
Autbentifizierungslevel durchgefOhrt. Werden alle Authentifizierungslevel 
erfolgreich beantwortet, ist der Supplicant authentifiziert. Ein spezifisches EAP 
Authentifikationsschema wird als EAP-Typ bezeichnet. Beide Seiten, d.h. 

20 Supplicant und Authenticator mQssen den gleichen EAP-Typ unterstQtzen, 
damit die Authentifizierung durchgefOhrt werden kann. Wie erwahnt, wird dies 
zu Beginn zwischen Supplicant und Authenticator festgelegt. 
Authentifikationsserver basierend auf RADIUS unterstQtzen im Normalfail EAP, 
was die Mdglichkeit gibt, EAP-Meldungen an einen RADIUS-Server zu 

25 schicken. 

Im Stand der Technik sind ebenfalls EAP-basierende Verfahren zur 
Authentifizierung eines Benutzers und zur Vergabe von Sessions Keys an den 
Benutzer mittels des GSM Subscriber Identity Modul (SIM) bekannt. Die GSM 
Authentifizierung basiert auf einem Frage-Antwort-Verfahren, einem sog. 
30 Challenge-Response Verfahren. Dem Authentifikationsalgorithmus der SIM- 
Karte wird als Challenge (Frage) eine 1 28-bit Zufallszahl (Gblicherweise 
bezeichnet als RAND) gegeben. Auf der SIM-Karte lauft dann ein fOr den 
jeweiligen Operator speziflschen, vertraulichen Algorithmus, der als Input die 
Zufallszahl RAND und einen geheimen, auf der SIM-Karte gespeicherten 
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SchlQssel Ki erhalt und daraus eine 32-bit Antwort (SRES) und ein 64-bit 
SchlQssel Kc generiert. Kc ist zur Verschlusslung des Datentransfers Gber 
drahtlose Schnittstellen gedacht (GSM Technical Specification GSM 03.20 
(ETS 300 534): "Digital cellular telecommunication system (Phase 2); Security 

5 related network functions", European Telecommunications Standards Institute, 
August 1997). Bei der EAP/SIM Authentifizierung werden mehrere RAND 
Challenge zum Generieren von mehreren 64-bit Kc SchlQsseln verwendet. 
Diese Kc-SchlOssel werden zu einem langeren Session Key kombiniert. Mit 
EAP/SIM erweitert das normale GSM Authentifizierungsverfahren, indem die 

10 RAND-Challenges zusatzlich einen Message Authentication Code (MAC) 
besitzen, urn gegenseitige Authentifizierung zu erzeugen. Urn die GSM- 
Authentifizierung durchzufuhren, sollte der Authentifikationsserver ein Interface 
zum GSM-Netzwerk besitzen. Der Authentifikationsserver arbeitet folglich als 
ein Gateway zwischen Internet Authentification Service (IAS) Server Netzwerk 

15 und der GSM Authentifikationsinfrastruktur. Zu Beginn der EAP/SIM 

Authentifizierung verlangt der Authentifikationsserver mit einem ersten EAP- 
Request durch den Authenticator vom Supplicant u.a. die International Mobile 
Subscriber Identity (IMSI) des Benutzers. Mit der IMSI erhalt der 
Authentifikationsserver auf Anfrage vom Authentifikationszenter (AuC) des 

20 entsprechenden Mobilfunknetz-Dienstanbieter, Gblicherweise im GSM-Netzwerk 
als Home Location Register (HLR) bzw. Visitor Location Register (VLR) 
bezeichnet, n GSM Triplets. Von den Triplets erhalt der Authentifikationsserver 
ein Message Authentification Code fur n*RAND und eine Lebensdauer for den 
SchlQssel (zusammen MAC_RAND) sowie einen Session SchlQssel. Mit diesen 

25 kann der Authentifikationsserver die GSM-Authentifizierung auf der SIM-Karte 
des Supplicant bzw. des Benutzers durchfOhren. Da RAND zusammen mit dem 
Message Authentification Code MAC_RAND an den Supplicant gegeben wird, 
wird es fQr den Supplicant mSglich zu QberprQfen, ob die RANDs neu sind und 
durch das GSM-Netzwerk generiert wurden. 

30 Der Stand der Technik hat jedoch verschiedenste Nachteile. Zwar ist 

es mbglich, z.B. mit einer EAP-SIM Authentifizierung die 
Authentifizierungsverfahren von den GSM-Netzwerken in der wireless LAN- 
Technologie zur Authentifizierung von Supplicants bzw. Remote Access Clients 
zu verwenden, vorausgesetzt der Benutzer besitzt eine IMSI bei einem GSM 
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Dienstanbieter. Ebenso ist es prinzipiell moglich, mittels z.B. Mobile IP der IETF 
(Internet Engineering Task Force) Datenstrdme zum entsprechenden bei einem 
Access Servers uber einen Access Point angemeldeten mobilen Remote 
Access Client umzuleiten (routen). Damit sind jedoch bei weitem nicht alle 

5 Probleme der mobilen Netzwerkbenutzung gelSst, welche ein wirklich freies 
Roaming des Benutzers erlauben warden. Eines der Probleme ist, dass im IP- 
Netzwerk die im GSM Standart benotigten Voraussetzungen bezuglich 
Sicherheit, Billing und Service Autorisierung nicht mehr gegeben ist. Dies hangt 
intrinsisch mit der offenen Architektur des IP-Protokolles zusammen. D.h., viele 

10 lnformationen fehlen im IP-Standard, die zur vollen Kompatibilitat mit den GSM- 
Netzwerken unbedingt benotigt werden. Zudem liefert ein Access Server 
beruhehd z.B. auf RADIUS ein einzelner Datenstrom. Dieser kann nicht ohne 
weiteres auf den mehrteiligen Datenstrom des GSM-Standards gemappt 
werden. Ein anderer Nachteil des Standes derTechnik ist, dass wireless LAN 

15 heute auf individuellen Hot Spots (d.h. der Basic Service Area der Access 

Points eines Access Servers) beruhen, die von unterschiedlichen Software- und 
Hardwareentwicklem der ganzen Welt angeboten werden. Dies erschwert die 
Zusammenfuhrung beider Welten, da solche Gateway-Funktionen jeweils an 
die speziflsche Lbsung angepasst werden mQssen. Die technischen 

20 Spezifikationen zum GSM Authentifikations-lnterface kSnne in MAP (Mobile 
Application Part) GSM 09.02 Phase 1 Version 3.10.0 gefunden werden. 

Es ist eine Aufgabe dieser Erfindung, ein neues Verfahren fur mobile 
Nodes in heterogenen WLANs vorzuschlagen. Insbesondere soil einem 
Benutzer ermSglicht werden, problemlos sich zwischen verschiedenen Hot 

25 Spots zu bewegen (roaming), ohne dass er sich urn Anmeldung, Billing, Service 
Autorisation etc. bei den verschiedenen WLAN-Dienstanbietern bemOhen 
mtisste, d.h. den gleichen Komfort geniesst, wie er es von der 
Mobilfunktechnologie , wie z.B. GSM, gewohnt ist. Die Erfindung soil die 
benStigten Komponenten fur Billing, Service Autorisierung und Sicherheit fur 

30 den Benutzer und Serviceanbieter in WLANs sicherstellen. 

Gemass der vorliegenden Erfindung werden diese Ziele insbeson- 
dere durch die Elemente der unabhangigen AnsprOche erreicht. Weitere vor- 
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teilhafte AusfCihrungsformen gehen ausserdem aus den abhangigen AnsprQ- 
chen und der Beschreibung hervor. 

lnsbesondere werden diese Ziele durch die Erfindung dadurch er- 
reicht, dass zwischen heterogenen WLANs und/oder GSM/GPRS/UMTS- 
Netzwerken zur Authentifizierung ein mobiler IP-Node Qber eine drahtlose 
Schnittstelle innerhalb einer Basic Service Area eines WLANs bei einem 
Access Point Zugriff auf das WLAN fordert, welche Basic Service Area des 
WLAN ein oder mehrere einem Access Server zugeordnete Access Points 
umfasst, dass der mobile IP-Node auf einen Request des Access Servers eine 
auf einer SIM-Karte des mobilen IP-Nodes gespeicherte IMSI an den Access 
Server Qbermittelt und dass mittels eines SIM-RADIUS-Moduls die IMSI des IP- 
Nodes gespeichert wird, wobei basierend auf der IMSI mittels von in einer SIM- 
Benutzerdatenbank abgespeicherten Informationen der logischen IP- 
Datenkanal des WLAN zu entsprechenden GSM-Daten fur Signal- und 
Datenkanale eines GSM-Netzwerkes benutzerspezifisch erganzt wird. wobei 
mittels eines SIM-Gateway-Moduls zur DurchfGhrung der Authentifizierung des 
IP-Nodes basierend auf den GSM-Daten die notwendigen SS7/MAP- 
Funktionen (Authentifikation und/oder Autorisation und/oder 
Konfigurationsinformationen) generiert werden, wobei das SIM-RADIUS-Modul 
mittels SIM-Benutzerdatenbank und SIM-Gateway-Moduls die Authentifizierung 
des mobilen IP-Nodes basierend auf der IMSI der SIM-Karte des mobilen 
Nodes bei einem HLR und/oder VLR eines GSM-Netzwerkes durchfuhrt, und 
wobei bei erfolgreicher Authentifizierung ein Location Update sowie eine 
Service Autorisierung beim HLR und/oder VLR durchgefOhrt wird und der 
mobile IP-Node in einer Customer Database des Access Servers einen 
entsprechenden Eintrag erhalt, wobei das WLAN zur Benutzung durch den 
mobilen IP-Node freigegeben wird. Bei erfolgreicher Authentifizierung kann als 
AusfQhrungsvariante zusatzlich zum Location Update beim HLR und/oder VLR 
eine Autorisierung des mobilen IP-Nodes durchgefOhrt werden, wobei beim 
HLR und/oder VLR ein entsprechendes Benutzerprofil basierend auf der IMSI 
heruntergelanden wird. D.h. die Service Autorisierung des Benutzers basiert auf 
der Abfrage des entsprechenden Benutzerprofils (Enduserprofil) beim HLR 
und/oder VLR. Das Genannte hat u.a. den Vorteil. dass ein automatisches 
Roaming zwischen unterschiedlichen und heterogenen WLANs und GSM- 
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Netzwerken moglich wird. Durch das Verbinden der WLAN-Technologie, 
insbesondere der IP-Netzwerke, mit der GSM-Technologie wird das Roaming 
des Benutzers mdglich, ohne dass er sich um Anmeldung, Billing, Service 
Autorisation etc. bei den verschiedenen WLAN-Dienstanbietern bemQhen 

5 musste, d.h., dass der Benutzer den gleichen Komfort geniesst, wie er es von 
der Mobilfunktechnologie, wie z.B. GSM. gewohnt ist. Gleichzeitig ist es auf 
eine vollig neue Art m6glich, die Vorteile der offenen IP-Welt (Zugang zum 
weltweiten Internet etc.) mit den Vorteilen des GSM-Standards (Sicherheit, 
Billing, Service Autorisation etc.) zu verbinden. Die Erfindung erlaubt auch ein 

10 Verfahren fur ein Roaming in WLANs zu erzeugen, ohne dass bei jedem 
Access Server in entsprechendes Modul eingebaut werden mQsste. Im 
Gegenteil kann die Infrastruktur (WLAN/GSM) durch die Verwendung von 
RADIUS unverandert Qbernommen werden. 

In einer Ausfuhrungsvariante wird fur die Authentiflzierung des 
15 mobilen IP-Nodes die auf der SIM-Karte des mobilen IP-Nodes gespeicherte 
IMSI nur bis zu einem oder mehreren der ersten Authentifikationsschritte 
benutzt und bei alien weiteren Authentifikationsschritten die IMSI durch eine 
generierte temporare IMSI (TIMSI) ersetzt wird. Dies hat u.a. den Vorteil, dass 
die Sicherheit wahrend der Authentifikation bzw. Autorisation erhoht werden 
20 kann. 

In einer Ausfuhrungsvariante wird die Authentiflzierung des mobilen 
IP-Nodes mittels Extensible Authentication Protocol durchgefbhrt. Dies hat u.a. 
den Vorteil, dass in Kombination mit RADIUS ein vollstandig Hardware und 
Hersteller (Vendor) unabhangiges Verfahren erzeugt wird. Insbesondere bietet 
25 EAP die notwendigen Sicherheitsmechanismen zur DurchfOhrung der 
Authentiflzierung. 

In einer Ausfilhrungsvariante wird der Datenstrom des mobilen IP- 
Nodes beim Zugriff auf das WLAN vom Access Point Ober einen 
Mobilfunknetzdienstanbieter geleitet. Dies hat u.a. den Vorteil, dass der 
30 Mobilfunknetzdienstanbieter vollstandige Kontrolle iiber den Datenfluss hat. So 
kann er spezifisch Service Autorisationen vergeben, detailliertes Billing 
durchfuhren, Sicherheitsmechanismen einbauen und/oder personalisierte 
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Dienste anbieten. U.a. kann er damit die offene, schwierig zu kontrollierende IP- 
Welt mit beispielsweise dem Internet, mit den Vorteilen der GSM-Welt 
verbinden. Dies spieltgerade in neuerer Zeit z.B. bezQglich Haftungsfragen des 
Providers oder Dienstanbieters eine grosse Rolle. 

5 In einer anderen AusfQhrungsvariante erteilt der 

Mobilfunknetzdienstanbieter basierend auf der Authentiflzlerung mittels der 
IMSI die entsprechende Service Autorisierung zur Benutzung unterschiedlicher 
Dienste und/oder fQhrt das Billing der beanspruchten Leistung durch. Diese 
AusfQhrungsvariante hat u.a. die gleichen Vorteile wie die vorhergehende 

10 AusfQhrungsvariante. 

In einer weiteren AusfQhrungsvariante ist die SIM- 
Benutzerdatenbank mit einer Sync-Datenbank zum Verandern oder Ldschen 
von bestehenden Benutzerdatensatzen oder zum EinfQgen neuer 
Benutzerdatensatze verbunden, wobei der Abgleich der Datenbanken 

15 periodisch durchgefQhrt wird und/oder durch Veranderungen der Sync- 
Datenbank und/oder durch Ausfall der SIM-Benutzerdatenbank ausgel6st wird. 
Dies hat den Vorteil, dass die Mobilfunknetzbetreiber zum Verandern oder 
Loschen von bestehenden Benutzerdatensatzen oder zum EinfQgen neuer 
Benutzerdatensatze in gleicher Weise verfahren konnen wie bisher mit ihren 

20 Benutzerdatenbanken, dass heisst, ohne dass sie zusatzliche Systeme kaufen 
oder warten mQssten. 

In einer AusfQhrungsvariante werden mittels eines Clearing-Moduls 
fQr das Billing die Billing-Records der heterogenen WLANs mit den 
Benutzerdaten synchronisiert und basierend auf dem GSM-Standard TAP 
25 aufbereitet. Dies hat u.a. den Vorteil, dass Dienstabieter ohne Modifikation ihrer 
Software und/oder Hardware das vom GSM-Standard gewohnte Clearing- und 
Billingverfahren verwenden kdnnen. Insbesondere erfolgt damit auch die 
restliche Aufschlusselung des IP-Datenstroms in einen GSM-Datenstrom. 



30 



An dieser Stelle soil festgehalten werden, dass sich die voriiegende 
Erfindung neben dem erfindungsgemassen Verfahren auch auf ein System zui 
AusfQhrung dieses Verfahrens bezieht. 
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Nachfolgend werden Ausfuhrungsvarianten der vorliegenden Erfin- 
dung anhand von Beispielen beschrieben. Die Beispiele der AusfOhrungen wer- 
den durch folgende beigelegten Figuren illustriert 

Figur 1 zeigt ein Blockdiagramm, welches schematisch ein 
5 erfindungsgemasses Verfahren und eine System fur automatisches Roaming 
zwischen heterogenen WLANs und/oder GSM/GPRS/UMTS-Netzwerken 
illustriert, wobei mobile IP-Nodes 20 uber eine kontaktbehaftete Schnittstelle mit 
einer SIM-Karte 201 und/oder ESIM (Electronic SIM) verbunden sind und 
mittels einer drahtlosen Verbindung 48 auf Access Points 21/22 des WLAN 
10 zugreifen. Ein Access Server 23 des WLAN authentifiziert den mobilen IP-Node 
20 basierend auf einer auf der SIM-Karte 201 abgespeicherten IMSI bei einem 
HLR 37 und/oder VLR 37 eines GSM Mobilfunknetzes. 

Figur 2 zeigt ein Blockdiagramm, welches schematisch ebenfalls ein 
erfindungsgemasses Verfahren und eine System fur automatisches Roaming 

15 zwischen heterogenen WLANs und/oder GSM/GPRS/UMTS-Netzwerken 

illustriert, wobei mobile IP-Nodes 20 uber eine kontaktbehaftete Schnittstelle mit 
einer SIM-Karte 201 verbunden sind und mittels einer drahtlose Verbindung 48 
auf ein WLAN zugreifen. Das WLAN ist Qber einen Access Server 23 mit einem 
GSM Mobilfunknetz, insbesondere einem HLR 37 und/oder VLR 37, einem 

20 GGSN (Gateway GPRS Support Node) 50 uber ein GRX-Modul 51 (GRX: 
GPRS Roaming exchange), einen Internet Service Provider 52 und einen 
Clearing Provider 53 for das Clearing der beanspruchten Leistungen uber einen 
Clearing System Operator 54 mit dem entsprechenden Billing-System 55 des 
Internet Service Providers 52 verbunden. Die Referenznummem 60-64 sind 

25 bidirektionale Netzwerkverbindungen. 

Figur 3 zeigt ein Blockdiagramm, welches schematisch ein Verfahren 
und eine System fOr automatisches Roaming zwischen heterogenen WLANs 
und/oder GSM/GPRS/UMTS-Netzwerken illustriert, wobei die offene IP-Welt 
mittels dem erfindungsgemassen Verfahren und System Qber Schnittstellen der 
30 Authentifizierung 371 und Autorisierung 372 (SS7/MAP), Service Autorisierung 
531 und Billing 532 mit der restriktiveren GSM-Welt verbunden sind. 



WO 2004/017564 




[T/CH2002/000452 



14 



Figur 4 zeigt ein Blockdiagramm, welches schematised den Aufbau 
eines IEEE 802. 1x Port-basierendes Authentifikatlonsverfahren illustriert, wobei 
der Supplicant Oder Remote Access Client 20 Gber ein Authenticator oder 
Remote Access Server 21 bei einem Authentifikations-Server 23 authentifiziert 
wird, wobei das WLAN auf IEEE 802.1 1 basiert. 

Figur 5 zeigt ein Blockdiagramm, welches schematisch eine 
mogliche AusfQhrungsvariante zur SIM-Authentifizierung mittels Extensible 
Authentication Protocol (EAP) illustriert, wobei ein GSM basiertes Challenge- 
Response Verfahren verwendet wird. 

Figur 1 illustriert eine Architektur, die zur Realisierung der Erfindung 
verwendet werden kann. Figur 1 zeigt ein Blockdiagramm, welches 
schematisch ein erfindungsgemasses Verfahren und ein System fur 
automatisches Roaming zwischen heterogenen WLANs und/oder 
GSM/GPRS/UMTS-Netzwerken illustriert. In der Figur 1 bezieht sich das 
Bezugszeichen 20 auf einen mobile IP-Node, welcher Gber die notwendige 
Infrastruktur, einschliesslich Hardware- und Softwarekomponenten verfOgt, urn 
ein beschriebenes erfindungsgemasses Verfahren und/oder System zu 
realisieren. Unter mobile Nodes 20 sind u.a. alle moglichen sog. Customer 
Premise Equipment (CPE) zu verstehen, die zur Benutzung an verschiedenen 
Netzwerkstandorten und/oder verschiedenen Netzwerken vorgesehen slnd. 
Diese umfassen beispielsweise samtlich IP-fahigen Gerate wie z.B. PDAs, 
Mobilfunktelefone und Laptops. Die mobilen CPEs oder Nodes 20 besitzen ein 
oder mehrere verschiedene physikalische Netzwerkschnittstellen, die auch 
mehrere unterschiedliche Netzwerkstandards unterstutzen konnen. Die 
physikalischen Netzwerkschnittstellen des mobilen Nodes kSnnen z.B. 
Schnittstellen zu WLAN (Wireless Local Area Network), Bluetooth, GSM (Global 
System for Mobile Communication), GPRS (Generalized Packet Radio Service), 
USSD (Unstructured Supplementary Services Data), UMTS (Universal Mobile 
Telecommunications System) und/oder Ethernet oder einem anderen Wired 
LAN (Local Area Network) etc. umfassen. Die Referenznummer 48 steht 
dementsprechend fur die verschiedenen heterogenen Netzwerke, wie z.B. ein 
Bluetooth-Netzwerk, z.B. fOr Installationen in Oberdachten Ortlichkeiten, ein 
Mobilfunknetz mit GSM und/oder UMTS etc., ein Wireless LAN z.B. basierend 
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auf IEEE wireless 802.1 x, aber auch einem Wired LAN, d.h. einem lokalen 
Festnetz, insbesondere auch dem PSTN (Public Switched Telephone Network) 
etc.. Prinzipiell ist zu sagen, dass das erfindungsgemasse Verfahren und/oder 
System nicht an einen spezlfischen Netzwerkstandart gebunden ist, sofern die 
5 erfindungsgemassen Merkmale vorhanden sind, sondern konnen mit einem 
beliebigen LAN realisiert werden. Die Schnittstellen 202 des mobilen IP-Nodes 
konnen nicht nur packet-switched Schnittstellen, wie sie von 
Netzwerkprotokollen wie z.B. Ethernet oder Tokenring direkt benutzt werden, 
sondern auch circuit-switched Schnittstellen, die mittels Protokollen wie z.B. 
10 PPP (Point to Point Protocol), SLIP (Serial Line Internet Protocol) oder GPRS 
(Generalized Packet Radio Service) benutzt werden konnen, d.h. welche 
Schnittstellen z.B. keine Netzwerkadresse wie eine MAC- oder elne DLC- 
Adresse besitzen. Wie teilweise erwahnt, kann die Kommunikation Qber das 
LAN, beispielsweise mittels speziellen Kurzmeldungen, z.B. SMS (Short 
15 Message Services), EMS (Enhanced Message Services), Ober einen 

Signalisierungskanal, wie z.B. USSD (Unstructured Supplementary Services 
Data) oder andere Techniken, wie MExE (Mobile Execution Environment), 
GPRS (Generalized Packet Radio Service), WAP (Wireless Application 
Protocol) oder UMTS (Universal Mobile Telecommunications System) oder Ober 
20 IEEE wireless 802. 1x oder einen anderen Nutzkanal erfolgen. Der mobile IP- 
Node 20 kann ein Mobile IP-Modul und/oder ein IPsec-Modul umfassen. Die 
Hauptaufgabe des Mobile IP besteht darin, den mobilen IP-Node 20 im IP- 
Netzwerk zu authentifizieren und die IP-Pakete, die den mobilen Node 20 als 
Zieladresse haben, entsprechend umzuleiten. Zu den weiteren Mobile IP 
25 Spezrfikationen siehe z.B. auch IETF (Internet Engineering Task Force) RFC 
2002, IEEE Comm. Vol. 35 No. 5 1997 etc. Mobile IP unterstutzt insbesondere 
IPv6 und IPv4. Die Mobile IP Fahigkeiten kSnnen vorzugsweise mit den 
Sicherheitsmechanismen eines IPsec (IP security protocol)-Moduls kombiniert 
werden, urn ein sicheres mobiles Datenmanagement im offentlichen Internet zu 
30 garantieren. IPsec (IP security protocol) erzeugt paketweise oder socketweise 
Authentifikations-A/ertraulichkeitsmechanismen zwischen Netzwerkknoten, die 
beide IPsec benutzen. Eine der Flexibilitaten von IPsec liegt insbesondere 
darin, dass es sich paketweise aber auch fOr einzelne Sockets konfigurieren 
lasst. IPsec unterstOtzt IPvx, insbesondere IPv6 und IPv4. FOr detailliertere 
35 iPsec-Spezifikationen siehe z.B. Pete Loshin: IP Security Architecture; Morgan 
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Kaufmann Publishers; 1 1/1999 oder A Technical Guide to IPsec; James S et 
al.; CRC Press, LLC; 12/2000 etc. Obwohl IPsec bei diesem 
AusfOhrungsbeispiel als Beispiel filr die Verwendung von Sicherheitsprotokollen 
auf IP-Niveau beschrieben worden ist, sind alle mSglichen anderen 
Sicherheitsprotokolle oder -mechanismen oder gar das Weglassen von 
Sicherheitsprotokollen erfindungsgemass vorstellbar. 

Weiter ist der mobile IP-Node 20 uber eine kontaktbehaftete 
Schnittstelle mit einer SIM-Karte 201 (SIM: Subscriber Identity Module) 
verbunden, auf welcher eine IMSI (International Mobile Subscriber Identifier) 
eines Benutzers von GSM-Netzwerken abgespeichert ist. Das SIM kann sowohl 
hardwaremassig als SIM-Karte und/oder softwaremassig als elektronische SIM 
realisiert sein. Zur Authentiflzierung fordert der mobiler IP-Node 20 Qber eine 
drahtlose Schnittstelle 202 innerhalb einer Basic Service Area eines WLANs bei 
einem Access Point 21/22 Zugrlff auf das WLAN. Wie bereits beschrieben, 
k5nnen die verschiedenen WLANs unterschiedlicher Hot Spots heterogene 
Netzwerkstandards und -protokolle umfassen, wie z.B. WLAN basierend auf 
dem IEEE wireless 802.1 x, Bluetooth etc.- Die Basic Service Area des WLAN 
umfasst ein oder mehrere einem Access Server 23 zugeordnete Access Points 
21/22. Der mobile IP-Node 20 ubermittelt auf einen Request des Access 
Servers 23 eine auf der SIM-Karte 201 des mobilen IP-Nodes 20 gespeicherte 
IMSI an den Access Server 23. Die IMSI des mobilen IP-Nodes 20 wird mittels 
eines SIM-RADIUS-Moduls 30 gespeichert. Basierend auf der IMSI wird mittels 
von in einer SIM-Benutzerdatenbank 34 abgespeicherten Informationen der 
logischen IP-Datenkanal des WLAN zu entsprechenden GSM-Daten for Signal- 
und Datenkanale eines GSM-Netzwerkes benutzerspezifisch erganzt. Das GSM 
System umfasst Datenkanale, die sog. Traffic Channels, und 
Kontrolsignalkanale, sog. Signaling Channels. Die Traffic Channeles (z.B. 
GPRS. GSM-Voice, GSM-Daten etc.) sind for Benutzerdaten reserviert, 
wShrend die Signaling Channels (z.B. MAP, SS7 etc.) fur Netzwerk- 
Managment, Kontrollfunktionen etc. verwendet werden. Die logischen Kanale 
sind Ober die Schnittstelle nicht alle gleichzeitig benutzbar, sondern anhand der 
GSM-Spezifikationen nur in bestimmten Kombinationen. Mittels eines SIM- 
Gateway-Moduls 32 werden zur DurchfOhrung der Authentiflzierung des IP- 
Nodes basierend auf den GSM-Daten die notwendigen SS7/MAP-Funktionen 
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(Authentifikation und/oder Autorisation und/oder Konflgurationsinformationen) 
generiert, wobei das SIM-RADIUS-Moduls 30 mittels SIM-Benutzerdatenbank 
34 und SIM-Gateway-Moduls 32 die Authentifizierung des mobilen IP-Nodes 
basierend auf der IMSI der SIM-Karte 201 des mobilen Nodes 20 bei einem 
HLR 37 (Home Location Register) und/oder VLR 37 (Visitor Location Register) 
eines GSM-Netzwerkes durchfOhrt. Bei erfolgreicher Authentifizierung kann a»s 
Ausfiihrungsvariante zusatzlich zum Location Update beim HLR (37) und/oder 
VLR 37 eine Autorisierung des mobilen IP-Nodes 20 durchgefOhrt werden, 
wobei beim HLR 37 und/oder VLR 37 ein entsprechendes Benutzerprofil 
basierend auf der IMSI heruntergelanden wird. Es ist auch vorstellbar, dass fur 
die Authentifizierung des mobilen IP-Nodes 20 nur bei einem oder mehreren 
der ersten Authentifikationsschritte die auf der SIM-Karte des mobilen IP-Nodes 
20 gespeicherte IMSI benutzt wird und bei alien weiteren 
Authentifikationsschritten die IMSI durch eine generierte temporare IMSI 
(TIMSI) ersetzt wird. Fur das Billing konnen die Billing-Records der heterogenen 
WLANs mit den Benutzerdaten (IMSl/TlMSl) mittels eines Clearing-Modul 533 
synchronisiert werden und entsprechend aufbereitet werden, so dass diese z.B. 
im GSM-Standard TAP (Transferred Account Procedure), insbesondere im 
TAP-3 Standard, von Mobilfunkdienstanbietern ohne Anpassung ihres 
Billingsystems fOr die Weiterverwendung an ihre Kunden Obemommen werden 
kSnnen. Die Transferred Account Procedure ist ein Protokoll for die Abrechnung 
zwischen verschiedenen Netzbetreibem, wobei die Version 3 (TAP-3) auch das 
Billing von Value Added Services in GPRS beherrscht. 

Wie in Figur 5 illustriert, kann die Authentifizierung des mobilen IP- 
i Nodes 20 z.B. mittels Extensible Authentication Protocol durchgefOhrt werden. 
FOr das EAP-basierende Verfahren zur Authentifizierung eines Benutzers und 
zur Vergabe von Sessions Keys an den Benutzer mittels des GSM Subscriber 
Identity Modul (SIM) kann z.B. folgendes Challenge-Response Verfahren 
verwendet werden. Dem Authentifikationsalgorithmus der SIM-Karte wird als 
b Challenge (Frage) eine 128-bit Zufallszahl (RAND) gegeben. Auf der SIM-Karte 
lauft dann ein fOr den jeweiligen Operator spezifischer, vertraulicher 
Algorithmus, der als Input die Zufallszahl RAND und einen geheimen, auf der 
SIM-Karte gespeicherten SchlOssel Ki erhalt und daraus eine 32-bit Antwort 
(SRES) und ein 64-bit SchlOssel Kc generiert. Kc dient zur VerschlOsselung des 
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Datentransfers Uber drahtlose Schnittstellen (GSM Technical Specification GSM 
03.20 (ETS 300 534): "Digital cellular telecommunication system (Phase 2); 
Security related network functions", European Telecommunications Standards 
Institute, August 1997). Zur Authentifizierung werden mehrere RAND Challenge 
5 zum Generieren von mehreren 64-bit Kc Schlusseln verwendet. Diese Kc- 
SchlUssel werden zu einem langeren Session Key kombiniert. Figur 4 zeigt 
schematisch den Aufbau zwischen dem mobilen IP-Node 20, dem Access Point 
21 und dem Access Server 23 in einem IEEE 802.1x Port-basierenden 
Authentifikationsverfahren, wobei der mobile IP-Node 20 (Remote Access 
10 Client / Supplicant) Ober den Access Point 21 (Authenticator) beim Access 
Server 23 (Authentifikations-Server) authentifiziert wird. Das WLAN basiert in 
diesem AusfUhrungsbeispiel auf IEEE 802.1 1 . Urn die GSM-Authentifikation 
durchzufQhren, funglert das SIM-Gateway-Modul 32 als Gateway zwischen 
Internet Authentification Service (IAS) Server Netzwerk und der GSM 
15 Authentrfikationsinfrastruktur, d.h. dem Access Point 21/22 bzw. dem Access 
Server 23 und dem HLR 37 bzw. dem VLR 37. Zu Beginn der EAP/SIM 
Authentifizierung verlangt der Access Server 23 mit einem ersten EAP-Request 
1 durch den Access Point 21/22 vom mobilen IP-Node 20 u.a. die International 
Mobile Subscriber Identity (IMSI) des Benutzer. Diese wird vom mobilen IP- 
20 Node mittels EAP-Response 2 an den Access Point 21/22 ubermittelt. Mit der 
IMSI erhalt der Access Server 23 auf eine Triplet-Anfrage vom entsprechenden 
HLR 37 bzw. VLR 37 bezeichnet, n GSM Triplets. Basierend auf den Triplets 
kann der Access Server 23 ein Message Authentification Code fGr n*RAND und 
eine Lebensdauer fQr den SchlOssel (zusammen MAC_RAND) sowie einen 
25 Session SchlOssel erhalten. In einem 3. EAP-Schritt 3 (Figur 5) schickt der 
Access Server 23 dann z.B. einen EAP-Request vom Typ 18 (SIM) an den 
mobilen IP-Node 20 und erhalt die entsprechende EAP-Response 4. EAP- 
Datenpackete vom Typ SIM haben zusatzlich ein spezielles Subtyp-Feld. Der 
erste EAP-Request/SIM ist vom Untertype 1 (Start). Dieses Packet enthalt die 
30 Liste der EAP/SIM Protokoll Versions-Nummern, die durch den Access Server 
23 untersttitzt werden. Der EAP-Response/SIM (Start) 4 (Figur 5) des mobilen 
IP-Nodes 20 enthalt die vom mobilen IP-Node 20 ausgewahlte 
Versionsnummer. Der mobile IP-Node 20 muss eine der im EAP-Request 
angegebenen Versionsnummern auswahlen. Der EAP-Response/SIM (Start) 
35 des mobilen IP-Nodes 20 enthalt ebenfalls einen Lebensdauervorschlag fur dei 
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SchlQssel (Key) und eine Zufallsnummer NONCE_MT, die durch den mobilen 
IP-Node generiert wurde. Alle folgenden EAP-Requests enthaiten alle die 
gleiche Version wie das EAP-Response/SIM (Start) Datenpacket des mobilen 
IP-Nodes 20. Wie erwahnt, besitzt diese AusfQhrungsvariante urn die GSM- 

5 Authentifikation durchzufOhren ein SIM-Gateway-Modul 32, das als Gateway 
zwischen dem Access Server 23 und dem HLR 37 bzw. dem VLR 37 fungiert. 
Nach Erhalt der EAP-Response/SIM erhalt der Access Server 23 ein n GSM 
Triplet vom HLR/VLR 37 des GSM-Netzwerkes. Aus den Triplets berechnet der 
Access Server 23 MAC_RAND und den Session Key K. Die Berechnung der 

10 kryptographischen Werte des SIM-generierten Session Key K und der Message 
Authentication Codes MAC-Rand und MAC_SRES konne beispielsweise dem 
Dokument "HMAC: Keyed-Hashing for Message Authentification" von H. 
Krawczyk, M. Bellar und R. Canetti (RFC2104, Feb. 1997) entnommen werden. 
Der nachste EAP-Request 5 (Figur 5) des Access Servers 23 ist vom Typ SIM 

15 und Subtyp Challenge. Der Request 5 enthalt die RAND Challenges, die vom 
Access Server 23 beschlossene Lebensdauer des SchlQssels, ein Message 
Authentication Code fur die Challenges und die Lebenszeit (MAC_RAND). 
Nach Erhalt des EAP-Request/SIM (Challenge) 5 lauft der GSM- 
Authentifikationsalgorithmus 6 auf der SIM-Karte und berechnet eine Kopie von 

20 MAC_RAND. Der mobile IP-Node 20 kontrolliert, dass der berechnete Wert von 
MAC_RAND gleich dem erhaltenen Wert von MAC_RAND ist. Ergibt sich keine 
Obereinstimmung der beiden Werte, bricht der mobile IP-Node 20 das 
Authentifikationsverfahren ab und schickt keine von der SIM-Karte berechneten 
Authentifikationswerte an das Netzwerk. Da der Wert RAND zusammen mit 

25 dem Message Authentifikations-Code MAC_RAND erhalten wird, kann der 
mobile IP-Node 20 sicherstellen, dass RAND neu ist und vom GSM-Netzwerk 
generiert wurde. Sind alle OberprOfungen richtig gewesen, schickt der mobile 
IP-Node 20 ein EAP-Response/SIM (Challenge) 7, der als Antwort MAC_SRES 
des mobilen IP-Nodes 20 enthalt. Der Access Server 23 Oberpruft, dass 

30 MAC_RES korrekt ist und schickt schliesslich ein EAP-Success Datenpacket 8 
(Figur 5), welches dem mobilen IP-Node 20 anzeigt, dass die Authentifizierung 
erfolgreich war. Der Access Server 23 kann zusatzlich den erhaltenen Session 
Key mit der Authentifizierungs-Meldung (EAP-Success) an den Access Point 
21/22 schicken. Bei erfolgreicher Authentifizierung wird ein Location Update 

35 beim HLR 37 und/oder VLR 37 durchgefuhrt und der mobile IP-Node 20 erhalt 
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in einer Customer Database des Access Servers einen entsprechenden 
Eintrag, wobei das WLAN zur Benutzung durch den mobilen IP-Node 20 
freigegeben wird. Wie erwahnt, hat dies u.a. den Vorteil, dass ein 
automatisches Roaming zwischen unterschiedlichen und heterogenen WLANs 

5 meglich wird. Durch das Verbinden der WLAN-Technologie, insbesondere der 
IP-Netzwerke, mit der GSM-Technologie wird das Roaming des Benutzers 
mogiich, ohne dass er sich urn Anmeldung, Billing, Service Autorisation etc. bei 
den verschiedenen WLAN-Dienstanbietern bemOhen miisste, d.h. dass der 
Benutzer den gleichen Komfort geniesst, wie er es von der 

10 Mobilfunktechnologie, wie z.B. GSM, gewohnt ist. Gleichzeitig 1st es auf eine 
vdllig neue Art mogiich, die Vorteile der offenen IP-Welt (Zugang zum 
weltweiten Internet etc.) mit den Vorteilen (Sicherheit, Billing, Service 
Autorisation etc.) zu verbinden. Die Erfindung erlaubt auch ein Verfahren fOr ein 
Roaming in WLANs zu erzeugen, ohne dass bei jedem Access Server ein 

15 entsprechendes Modul eingebaut werden mOsste. Im Gegenteil kann die 
Infrastruktur (WLAN/GSM) durch die Verwendung von RADIUS unverandert 
Obernommen werden. Die Erfindung ermoglicht dadurch ein automatisches 
Roaming zwischen heterogenen WLANs, GSM-, GPRS- und UMTS- 
Netzwerken. 

20 Figur 3 zeigt in einem Blockdiagramm noch einmal schematisch ein 

erfindungsgemasses Verfahren und System, wie Ober die Schnittstellen der 
Authentifizierung 371 und Autorisierung 372 (SS7/MAP), Service Autorisierung 
531 und Billing 532 die offene IP-Welt 57 mit der restriktiveren GSM-Welt 58 
verbunden sind. Die Referenznummer 38 geben dabei unterschiedliche 

25 Mobilfunknetzdienstanbieter mit zugeordneten HLRA/LR 37 an. Als 

AusfOhrungsvariante ist es vorstellbar, dass der Datenstrom des mobilen IP- 
Nodes 20 beim Zugriff auf das WLAN vom Access Point 21/22 Ober den 
Mobilfunknetzdienstanbieter 38 geleitet wird. Dies erlaubt dem 
Mobilfunknetzdienstanbieter 38 basierend auf der Authentifizierung mittels der 

30 IMSI benutzerspezifische Service Autorisierung zur Benutzung 

unterschiedlicher Dienste zu erteilen und/oder benutzerspezifisches Billing der 
beanspruchten Leistung durchzufuhren. Zur Service Autorisierung wird nach 
der Authentifikation des Benutzers neben den Location Update beim HLRA/LR 
37 ein Benutzerprofil (Enduserprofil) heruntergeladen, aus welchem die 
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entsprechenden Angaben zur Service Autorisierung eines Benutzers 
entnommen werden konnen. Basierend auf dem Benutzerprofil werden im 
mobilen IP-Node 20 die entsprechenden Autorisierungsflags zur Freigabe oder 
Verweigerung bestimmter Dienste gesetzt. Die Servicefreigabe kbnnte 
5 prinzipiell auch z.B. mittels einem Modul 214 direkt beim Access Point 21/22 
oder, falls der Datenstrom umgeleitet wird, beim Mobilfunknetzdienstanbieter 38 
vorgenommen werden. 

Es bleibtzu erwahnen, dass in einem erweiterten Ausfuhrungsbei- 
spiel zum oben genannten AusfUhrungsbeispiel die SIM-Benutzerdatenbank 34 

10 mit einem Sync-Modul 35 und einer Sync-Datenbank 36 zum Verandern oder 
Loschen von bestehenden BenutzerdatensStzen oder zum EinfQgen neuer 
Benutzerdatensatze verbunden ist, wobei der Abgleich der Datenbanken 34/36 
periodisch durchgefQhrt wird und/oder durch Veranderungen der Sync- 
Datenbank 36 und/oder durch Ausfall der SIM-Benutzerdatenbank 34 ausgelost 

15 wird. Das Sync-Modul 35 und die Sync-Datenbank 36 kdnnen wie die Qbrigen 
erfindungsgemassen Komponenten hardware- oder softwaremassig als 
eigenstandige Netzwerkkomponenten, z.B. als eigenstandiger IP-Node 
und/oder GSM-Komponente oder einer anderen Systemkomponente 
zugeordnet und/oder in eine andere Systemkomponente integriert realisiert 

20 sein. Mit dieser AusfQhrungsvariante kOnnen die Mobilfunknetzbetreiber 38 zum 
Verandern oder Loschen von bestehenden Benutzerdatensatzen oder zum 
EinfQgen neuer Benutzerdatensatze in gleicher Weise verfahren, wie bisher mit 
ihren Benutzerdatenbanken, dass heisst, ohne dass sie zusatzliche System 
kaufen oder warten mQssten. 
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Anspruche 



1 . Verfahren fQr automatisches Roaming zwischen heterogenen 
WLANs und/oder GSM/GPRS/UMTS-Netzwerken, bei welchem zur 

5 Authentifizierung ein mobiler IP-Node (20) Qber eine drahtlose Schnittstelle 
innerhalb einer Basic Service Area eines WLANs bei einem Access Point 
(21/22) Zugriff auf das WIAN fordert, wobei die Basic Service Area des WLAN 
ein oder mehrere einem Access Server (23) zugeordnete Access Points (21/22) 
umfasst, bei welchem der mobile IP-Node (20) auf einen Request des Access 

10 Servers (23) eine auf einer SIM-Karte (201 ) des mobilen IP-Nodes (20) 

gespeicherte IMSI an den Access Server (23) ubermittelt und die IMSI des IP- 
Nodes (20) in einer Datenbank (31) eines SIM-RADIUS-Moduls (30) 
gespeichert wird, dadurch gekennzeichnet, 

dass basierend auf der IMSI mittels von in einer SIM- 
15 Benutzerdatenbank (34) abgespeicherten Informationen der logischen IP- 
Datenkanal des WLAN zu entsprechenden GSM-Daten fQr Signal- und 
Datenkanale eines GSM-Netzwerkes benutzerspezifisch erganzt wird, 

dass mittels eines SIM-Gateway-Moduls (32) zur DurchfOhrung der 
Authentifizierung des IP-Nodes (20) basierend auf den GSM-Daten die 
20 notwendigen SS7/MAP-Funktionen generiert werden, 

dass das SIM-RADIUS-Moduls (30) mittels SIM-Benutzerdatenbank 
(34) und SIM-Gateway-Moduls (32) die Authentifizierung des mobilen IP-Nodes 
(20) basierend auf der IMSI der SIM-Karte (201) des mobilen Nodes (20) bei 
einem HLR (37) und/oder VLR (37) eines GSM-Netzwerkes durchfuhrt, und 

25 dass bei erfolgreicher Authentifizierung ein Location Update beim 

HLR (37) und/oder VLR (37) durchgefOhrt wird und der mobile IP-Node (20) in 
einer Customer Database des Access Servers (23) einen entsprechenden 
Eintrag erhalt, wobei das WLAN zur Benutzung durch den mobilen IP-Node (20) 
freigegeben wird. 
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2. Verfahren fQr automatisches Roaming zwischen heterogenen 
WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach Anspruch 1, dadurch 
gekennzeichnet, dass bei erfolgreicher Authentifizierung zusatzlich zum 
Location Update beim HLR (37) und/oder VLR (37) eine Autorisierung des 

5 mobilen IP-Nodes (20) durchgeftihrt wird, wobei beim HLR (37) und/oder VLR 
(37) ein entsprechendes Benutzerprofil basierend auf der IMSl 
heruntergelanden wird. 

3. Verfahren fur automatisches Roaming zwischen heterogenen 
WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach einem der AnsprQche 1 

10 oder 2, dadurch gekennzeichnet, dass fur die Authentifizieaing des mobilen IP- 
Nodes (20) die auf der SIM-Karte des mobilen IP-Nodes (20) gespeicherte IMSl 
nur bis zu einem oder mehreren der ersten Authentifikationsschritte benutzt 
wird und bei alien weiteren Authentifikationsschritten die IMSl durch eine 
generierte temporare IMSl ersetzt wird. 

!5 4. Verfahren fQr automatisches Roaming zwischen heterogenen 

WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach einem der AnsprQche 1 
bis 3, dadurch gekennzeichnet, dass die Authentifizierung des mobilen IP- 
Nodes (20) mittels Extensible Authentication Protocol durchgeftlhrt wird. 

5. Verfahren fQr automatisches Roaming zwischen heterogenen 

20 WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach einem der AnsprQche 1 
bis 4, dadurch gekennzeichnet, dass der Datenstrom des mobilen IP-Nodes 
(20) beim Zugriff auf das WLAN vom Access Point (21/22) Ober einen 
Mobilfunknetzdienstanbieter geleitet wird. 

6. Verfahren fQr automatisches Roaming zwischen heterogenen 
25 WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach Anspruch 5, dadurch 

gekennzeichnet, dass der Mobilfunknetzdienstanbieter basierend auf der 
Authentifizierung mittels der IMSl die entsprechende Service Autorisierung zur 
Benutzung unterschiedlicher Dienste erteilt und/oder Billing der beanspruchten 
Leistung durchfGhrt. 
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7. Verfahren fOr automatisches Roaming zwischen heterogenen 
WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach einem der AnsprOche 1 
bis 6, dadurch gekennzeichnet, dass die SIM-Benutzerdatenbank (34) mit 
einem Sync-Modul (35) und einer Syno-Datenbank (36) zum Verandern oder 
5 L6schen von bestehenden Benutzerdatensatzen oder zum EinfQgen neuer 
Benutzerdatensatze verbunden ist, wobei der Abgleich der Datenbanken 
(34/36) periodisch durchgefQhrt wird und/oder durch Veranderungen der Sync- 
Datenbank (36) und/oder durch Ausfall der SIM-Benutzerdatenbank (34) 
ausgelost wird. 

! o 8. Verfahren fur automatisches Roaming zwischen heterogenen 

WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach einem der Anspruche 1 
bis 7, dadurch gekennzeichnet, dass mittels eines Clearing-Moduls 533 fur das 
Billing die Billing-Records der heterogenen WLANs mit den Benutzerdaten 
synchronisiert und basierend auf dem GSM-Standard TAP aufbereitet werden. 

15 9. System fOr automatisches Roaming zwischen heterogenen 

WLANs und/oder GSM/GPRS/UMTS-Netzwerken, welches System mindestens 
ein WLAN mit jeweils einer Basic Service Area umfasst, welche Basic Service 
Area eines WLANs einen oder mehrere einem Access Server (23) zugeordnete 
Access Points (21/22) umfasst, welche Access Points (21/22) eine drahtlose 

20 Schnittstelle (21 1 ) zum Kommunizieren mit mobilen IP-Nodes (20) umfassen 
und welche mobilen IP-Nodes (20) eine SIM-Karte (201) zum Speichern einer 
IMSI umfassen, dadurch gekennzeichnet, 

dass der Access Server (23) ein SIM-RADIUS-Moduls (30) mit einer 
Datenbank (31) zum Speichern der IMSI umfasst, wobei basierend auf der IMSI 
25 mittels von in einer SIM-Benutzerdatenbank (34) abgespeicherten 

Informationen der logischen IP-Datenkanal des WLAN zu GSM-Daten fur 
Signal- und Datenkanale eines GSM-Netzwerkes benutzerspezifisch erganzt 
wird, 

dass das System eine SIM-Gateway-Modul (32) umfasst, mittels 
30 welchem zur DurchfQhrung der Authentifizierung des mobilen IP-Nodes (20) 
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basierend auf den GSM-Daten die notwendigen SS7/MAP-Funktionen 
generierbar sind, und 

dass der Access Server (23) eine Customer Database umfasst, in 
welche authentifizierte Benutzer des WLANS mittels dem SIM-RADIUS-Modul 
5 (30) eintragbar sind, wobei bei der Eintragung ein Location Update der IMSI des 
mobilen IP-Nodes (20) beim HLR (37) und/oder VLR (37) durchgefiihrt wird. 

10. System fOr automatisches Roaming zwischen heterogenen 
WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach Anspruch 9, dadurch 
gekennzeichnet, dass bei erfolgreicher Authentifizierung zusatzlich zum 

10 Location Update mittels eines Benutzerprofils des HLR (37) und/oder VLR (37) 
eine Autorisierung des mobilen IP-Nodes (20) durchfOhrbar ist. 

11. System fOr automatisches Roaming zwischen heterogenen 
WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach einem der AnsprOche 9 
oder 10, dadurch gekennzeichnet, dass fur die Authentifizierung des mobilen 

15 IP-Nodes (20) bei mindestens einem der Authentifikationsschritte die IMSI 
durch eine mittles einem Modul generierte temporare IMSI ersetztbar ist. 

12. System fOr automatisches Roaming zwischen heterogenen 
WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach nach einem der 
AnsprOche 9 oder 1 1 , dadurch gekennzeichnet, dass die Authentifizierung des 

20 mobilen IP-Nodes (20) mittels Extensible Authentication Protocol durchfOhrbar 
ist. 

13. System fOr automatisches Roaming zwischen heterogenen 
WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach einem der AnsprOche 9 
oder 12, dadurch gekennzeichnet, dass das System ein Mobilfunknetzanbieter 

25 umfasst, Ober welchen der Datenstrom des mobilen IP-Nodes (20) beim Zugriff 
auf das WLAN vom Access Point (21/22) umleitbar ist. 

14. System for automatisches Roaming zwischen heterogenen 
WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach Anspruch 13, dadurch 
gekennzeichnet, dass der Mobilfunknetzdienstanbieter ein Autorisierungs- 



WO 2004/017564 




IT/CH2002/000452 



Modul umfasst, das basierend auf der Authentifizierung mittels der IMSI die 
entsprechende Service Autorisierung zur Benutzung unterschiedlicher Dienste 
erteilt, und/oder ein Clearing System (53) umfasst, das das Billing der 
beanspruchten Leistung durchfuhrt. 

5 1 5. System fur automatisches Roaming zwischen heterogenen 

WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach einem der Anspruche 9 
bis 14, dadurch gekennzeichnet, dass das System eine Sync-Modul (35) mit 
einer Sync-Datenbank (36) umfasst, mittels welcher die SIM- 
Benutzerdatenbank (34) zum Verandern oder LSschen von bestehenden 

1 o Benutzerdatensatzen oder zum Einfugen neuer Benutzerdatensatze verbunden 
ist, wobei der Abgleich der Datenbanken periodisch durchgefiihrt wird und/oder 
durch Veranderungen der Sync-Datenbank (36) und/oder durch Ausfall der 
SIM-Benutzerdatenbank (34) ausgelost wird. 

16. System fur automatisches Roaming zwischen heterogenen 
1 5 WLANs und/oder GSM/GPRS/UMTS-Netzwerken nach einem der Anspruche 9 
bis 15, dadurch gekennzeichnet, dass mittels eines Clearing-Moduls 533 f Or 
das Billing die Billing-Records der heterogenen WLANs mit den Benutzerdaten 
synchronisierbar sind und basierend auf dem GSM-Standard TAP aufbereitbar 
sind. 
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EPO-Interna") , WPI Data, PAJ, INSPEC 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kategorie 0 Bezeich nung der Veroffentlichung, soweit erf orderiich unter Angabe der in Betracht kommenden Telle 



Betr, Anspruch Nr. 



WO 01 76134 A (NOKIA CORP) 

11. Oktober 2001 (2001-10-11) 

Seite 1, Zelle 7 - Zeile 26 

Seite 16, Zeile 5 - Zelle 24 

Seite 18, Zeile 10 - Zeile 31 

Seite 30, Zeile 28 -Seite 31, Zeile 7 

Seite 32, Zeile 1 - Zeile 13 

WO 02 03730 A (RINNEMAA JYRI ;N0KIA CORP 

(FI); ALA LAURILA JUHA (FI); HONK AN EN JU) 

10. Januar 2002 (2002-01-10) 

Seite 1, Zeile 4 - Zeile 21 

Seite 3, Zeile 10 -Seite 5, Zeile 10 



1-16 



1-16 



m 



Weftere Veroffentlichungen stnd der Fortsetzung von Feld C zu 
entnehmen 



ID 



Slehe Anhang Patentfamille 



° Besondere Kategorlen von angegebenen Veroffentlichungen : 

■A' Veroffentlichung, die den allgemeinen Stand der Technik definiert, 
aber nicht als besonders bedeulsam anzusehen 1st 

"E" atteres Dokument, das ]edoch erst am oder nach dem internationalen 
Anmeldedalum veroffentiicht worden ist 

"L" VeroffentBchung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, oder durch die das Veroffentiichungsdatum emer 
anderen hn Recherchenbericht genannten VerSffentlichung belegt werden 
soil oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefQhrt) 

'CT Veroffentlichung, die slch auf eine mflndltehe Offenbarung, 

eine Benutzung, eine AussteDung oder andere MaBnahmen bezteht 

■P* Veroffentlichung, die vordem fntemationalen Anmeldedalum. - 
dem beanspruchten Prioritatsdatum veroffentiicht worden ist 



nach 



T Spatere Veroffentlichung, die nach dem internationalen Anmeldedalum 
oder dem Priorftatsdatum verQffentDcht worden ist und mtt der 
Anmefdung nfcht kolfidiert, sondem nur zum Verstandnis des der 
Erflndung zugrundeliegenden Prinzlps oder der ihr zugrundeDegenden 
Theorte angegeben isl 

•X - Veroffentlichung von besonderer Bedeutu ng; cfie beanspruchte Erfindung 
kann allem aufgrund dleser Veroffentlichung nicht als neu oder auf 
erfinderischer Tatlgkett beruhend betrachtet werden 

■Y" Veroffentlichung von besonderer Bedeutu ng; die beanspruchte Erfindung 
kann nfcht als auf erfinderischer Taligkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mil einer oder mehreren anderen 
VerSffentlichungen dleser Kategorie in Verbindung gebracht wird und 
diese Verbindung fQr einen Fachmann nahefiegend 1st 

*&" Veroffentlichung, die Mftgtled derselben Patentfamille ist 



Datum des Abschiusses der internationalen Recherche 



10. April 2003 



Absendedatum des internationalen Recherchenberichts 



17/04/2003 



Name und Postanschrift der Internationalen Recherchenbehorde 
Europaisches Patentamt, P.B. 5818 Patentlaan 2 
NL-2280HVFu]swijk 
TeL (+31-70) 340-2040, Tx. 31 ©1 epo n!, 
Fax (+31-70) 340-3016 



BevoDmachtlgter Bediensteter 



Heinrich, D 



Foimbfett PCT/ISA/210 (Btett 2) (JuU 1992) 



INTERNATIONALER RECHERCHENBERICHT 



C(Fortsetzung) ALS WES EN I HUH ANbLbU BWg UNTERLAGEN 



InterrlP^iaJes Aktenzelchen 



Kalegorie 0 



Bezelchnung der Verdffentnchung, sowea erforderilch unter Angabe der in Betracht kommenden Teile 



Betr. Anspmch Nr. 



OSTROWSKI F: "ROAMING UND HANDOVER 

ZWISCHEN UMTS UNK FUNK-LAN" 

NTZ (NACHRICHTENTECHNISCHE ZEITSCHRIFT), 

VDE VERLAG GMBH. BERLIN, DE, 

Bd. 55, Nr. 6, 2002, Seiten 24-26, 

XP001124094 

ISSN: 0027-707X 

das ganze Dokument 



1-16 



FormWatt PCT/lSA/210 (Fortsatzung von Blatt 2) (J U D 1992) 



Angaben zu Ver6ffentUchungen, die ZMT^ken Patentf amine gehoren 



lm Recherchenbericht 
angefuhrtes Patentdokument 



uu^en Pc 



um der 
Verdffentlichung 



Intern; 



Aktenzefchen 



Mltglied(er) der 
Patentfamilie 



PCT/C^^00452_ 

~ ^ Datum der 

I Verdffentlichung 



WO 0176134 



11-10-2001 



AU 2683801 A 

EP 1273128 Al 

WO 0176134 Al 

US 2002012433 Al 



15-10-2001 
08-01-2003 
11-10-2001 
31-01-2002 



WO 0203730 


A 


10-01-2002 FI 


20001567 A 


31-12-2001 




AU 


7260101 A 


14-01-2002 






WO 


0203730 Al 


10-01-2002 






us 


2002009199 Al 


24-01-2002 



Foimttatt PCT71SA/210 (Anhang Patentfami5a)(Jull 1992) 



